Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера.
Инсталляция
При запуске вирус создает в системном каталоге Windows библиотеку с произвольным именем:
%System%\<произвольный набор символов>.dll — имеет размер 7168 байт, детектируется Антивирусом Касперского как Trojan.Win32.Obfuscated.fw
Затем создает в системном реестре следующий ключ:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fade] "DllName" = "<произвольный набор символов>.dll" "MaxWait" = " dword: 0x00000001" "Logon" = "Event" "Asynchronous" = "dword: 0x00000001" "Impersonate" = "dword: 0x00000001"
Деструктивная активность
Чтобы обойти сетевые экраны и антивирусную защиту, троянец ищет окна сообщений с заголовком:
Create rule for <имя троянской программы>
Также ищет в системе окна с именами классов:
AVP.AlertDialog AVP.AhAppChangedDialog AVP.AhLearnDialog
И имитирует в них нажатия на кнопки:
Allow Skip Apply to all Remember this action
Таким образом вирус разрешает запрашиваемые действия.
Окна с именем класса «AVP.Product_Notification» закрываются.
Далее троянская программа производит запись в память системного процесса «explorer.exe» — для сокрытия своего присутствия в системе и получения беспрепятственного доступа в Интернет. С целью получения параметров интернет-подключения пользователя вирус загружает ссылку:
http://httpdoc.info/cgi-bin/****.cgi
В ходе своей работы троянец открывает произвольный UDP-порт. После этого компьютер пользователя может использоваться злоумышленником в качестве прокси-сервера.
Ладно, не доказали. Но мы работаем над этим